C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索
查看: 8011|回复: 0

[原理资料] 802.1x的组播 [复制链接]

军衔等级:

亚星游戏官网-yaxin222  新兵

注册:2017-7-3
发表于 2021-1-8 11:54:44 |显示全部楼层
EAPOL帧在二层传送时,必须要有目标MAC地址,当客户端和认证系统彼此之间不知道发送的目标时,其目标MAC地址使用由802.1x协议分配的组播 地址01-80-c2-00-00-03。



802.1X的基本概念
1. 受控/非受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。
  • 非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接收认证报文。
  • 受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。

2. 授权/非授权状态
设备端利用认证服务器对需要接入局域网的客户端实行认证,并根据认证结果(Accept或Reject)对受控端口的授权/非授权状态进行相应地控制。
图 2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态(相当于端口开关打开),系统2的受控端口处于授权状态(相当于端口开关关闭)。



802.1X的认证触发方式
802.1X的认证过程可以由客户端主动发起,也可以由设备端发起。设备支撑的认证触发方式包括以下两种:
1. 客户端主动触发方式
客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为IEEE 802.1X协议分配的一个组播MAC地址:01-80-C2-00-00-03。
另外,由于网络中有些设备不支撑上述的组播报文,使得认证设备无法收到客户端的认证请求,因此设备端还支撑广播触发方式,即,可以接收客户端发送的目的地址为广播MAC地址的EAPOL-Start报文。这种触发方式需要H3C iNode的802.1X客户端的配合。
2. 设备端主动触发方式
设备会每隔N秒(例如30秒)主动向客户端发送EAP-Request/Identity报文来触发认证,这种触发方式用于支撑不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。

举报本楼

您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-24 23:54 , Processed in 0.126292 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图